[HaBo]

:::Lük:::

Anzeige

Hallo HaBo,

Der Titel mag wohl etwas makaber klingen trotzdem habe ich zu dem Thema Sicherheitslücken auf komerziellen Webseiten mal eine Frage:
Also, ich habe auf einer nicht gerade kleinen komerziellen Webseite eine Sicherheitslücke entdeckt (> 1 Mio potentiell XSS-gefährdete Seiten).

Daraufhin schrieb ich den Betreibern eine E-Mail, inder ich sie auf das vorhanden sein einer Sicherheitslücke und deren Risiken hinwies und diese gegen ein kleines Entgelt näher beschreiben würde. Keine Reaktion. Das war vor etwa 2 Monaten.
Dann vor ca. 1 1/2 Monaten schrieb ich eine 2. Mail. Wieder keine Reaktion.

Also wartete ich 2 Wochen ab und rief dann beim Kundenservice an, der mich auch sofort zu einem der höheren Tiere durchstellte. Ich beschrieb also die Risiken und fragte, ob ich ein Entgelt für die Beihilfe zur Beseitigung der Lücke erwarten könne. Das, meinte er, würde von dem Ausmaß und dem Wahrheitsgehalt meiner Geschichte abhängen. Er würde das Ganze weiterleiten und mich dann anrufen.
Bis heute (1 Monat nach dem Anruf) hat er das nicht getan und die Lücke existiert immernoch.

Was meint ihr? Ist es angemessen, für sowas Geld zu verlangen. Immerhin renne ich denen nun seit gut 2 Monaten hinterher.
Und wenn ja, was könnte ich verlangen?

MfG Lük

sw33tlull4by

Es laeuft anders:
Du musst von dennen beauftragt werden.(Security Audit)
Wenn du ihnen Sicherheitsluecken schilderst, muessen die nichts zahlen.
Abgesehen davon wuerde ich darauf auch nicht weiter eingehen, den erstens wissen die meinstens nicht wen sie anschreiben sollen und 2. koennte es auch so laufen das der Anrufer nur will das der Code veraendert wird damit er anreifbarer ist.
Also musst du dir das leider Gottes aus dem Kopf schlagen den die Chancen stehen eher schlecht.
mfg

sw33t

:::Lük:::

Das ändert doch nichts daran, dass die Lücke existiert und gefixt werden muss. Wenigstens einmal nachschauen könnte man doch.

Wie wollen die mich beauftragen, ohne dass ich mich nicht in irgend einer Form qualifiziere?

Cyberm@ster

Du hast zwei Möglichkeiten:

Entweder du willst, dass die Lücke gefixt wird, schreibst die an, merkst dann, dass sie nichts machen und postest es auf bugtraq, heise security oder was weiss ich

oder

es geht dir ums Geld und dann verkäufst du den Zero-Day-Exploit auf dem Schwarzmarkt

KlausSchiefer

Also wenn es Dir ums fixen geht, mail den Jungs den code.

Wenns Dir ums Geld geht. Wende dich an eine der einschlägigen Sites. Wenns ein Bug NUR für diese Site ist, dann biete das lieber in anderen einschlägigen Foren an, da bekommst du sicher mehr.

Oder du benutzt das einfach selbst, ziehst was du kannst und verhökerst sie dann

Das kann doch nicht so schwer sein

Elderan

Hallo,
What the fuck?

Das ist leider normal, selbst Banken reagieren oft sehr sehr träge auf solche Hinweise, obwohl man dort etwas anderes erwarten würde.
Liegt einfach damit zusammen, dass die Mail die 'falschen' Leute erreicht. Die Mail landet irgendwo in einem angemieteten Call-Center in Holland oder so, wo Leute mit bescheidenen Kenntnissen sitzen und diese Mail dann gänzlich ignorieren.

Evt. wird diese Lücke auf unterschätzt. Viele Leute denken sich: XSS, na und?
Besonders wenn das XSS nur temporär z.B. über einen Post Parameter zu übertragen ist, also nicht dauerhaft aus einer DB geladen wird (bsp: Sie haben nach '<b>XSS</b>' gesucht), werden solche Lücken gerne gänzlich ignoriert.


Hmm, vielleicht versteh ich dich falsch, aber wenn die Nachgucken würden und die Lücke finden würden, würden sie diese auch beheben und dir nichts mehr bezahlen müssen.
Da diese Lücke noch nicht behoben wurde, wurde sie wahrscheinlich auch noch nicht gefunden und somit stellst du da Behauptungen auf, die du nicht wirklich belegen kannst ohne um dein Geld zu kommen.


Ansonsten glaube ich auch, dass deine Chancen nicht die besten sind, irgendwie gibts keine wirkliche Zahlungsmoral seitens von Betreibern.
Aber versuchen kann man es ja, evt. mal an den technischen Support oder so wenden.
Vielleicht kann man auch Leute erreichen, die für die Website verantwortlich sind.

:::Lük:::

Der Schadcode lässt sich ganz einfach per get injizieren. Komisch das sowas nicht ernst genommen wird.

Ich hatte mir das in etwa so vorgestellt: Man schließt einen kleinen Vertrag ab, indem vermerkt ist, dass ich soundso viel bekomme, wenn die Sicherheitslücke tatsächlich meiner Beschreibung entspricht und gefixt wurde.

[starfoxx]

Es ist wohl schon nett genug von dir die Anzuschreiben, wenn nichts dabei rauskommt würde ich keine Skrupel haben damit was unmoralisches anzustellen. Eventuell muss da jemand seinen Job verlieren um was zu lernen...

(nicht dass ich ahnung habe ob, wie und wo sowas illegal gehandelt wird)

:::Lük:::

Moralisch stimme ich dir voll zu. Allerdings bin ich mir ziemlich sicher, dass das Rechtsanwälte anders sehen werden.

Nur weil jemand seine Haustür offen stehen lässt und du den Besitzer darauf hinweist und dieser nicht darauf reagiert, hieße das ja noch lange nicht, dass du sein Haus leer räumen kannst

valenterry

Aber jemand anderem wird man doch von der offenen Haustür erzählen dürfen, oder? ))

lightsaver

da wäre ich sehr vorsichtig! spätestens, wenn der threadersteller die ratschläge wahrnimmt, und die lücke auf einschlägigen seiten verkauft, wird im illegalen bereich befinden und dann auch mit entsprechenden konsequenzen rechnen müssen, sofern er ermittelt wird.
insofern ist es auch eher unangebracht, solch ein vorgehen vorzuschlagen

Elderan

Hallo,
nicht wenn es offensichtlich ist, dass diese Person mit dem Wissen das Haus ausräumen wird, denn dann nennt man dieses 'Beihilfe' welches Strafrechtlich geahndet wird.
Erzählt man es der Person, mit der Absicht, dass der Nachbar dann ausgeräumt wird (damit der seine Lektion lernt...), könnte man sogar von 'Anstiftung zu einer Straftat' sprechen, und ich glaub keiner möchte wegen sowas vor Gericht stehen.

Harry Boeck

Das Ganze hat aber auch noch einen Aspekt von der anderen Seite her:

Jemand, der eine Kundschaft hat und Geschäfte übers Internet betreibt und dafür einen unsicheren "Laden" benutzt, gefährdet - eventuell indirekt, eventuell aber auch ganz unmittelbar - seine nichtsahnenden Kunden!

Jemand, der etwas unternimmt, um diesen Mißstand zu beenden, einschließlich dessen, daß er schrittweise eskalierende Mittel einsetzt, um dessen Existenz zu Bewußtsein zu bringen, könnte sich auf sowas wie staatsbürgerliche Pflicht zur Hilfeleistung berufen. Heißt mit Sicherheit anders, steht aber mit Sicherheit irgendwo im BGB, wenn nicht gar ein Rechtsverdreher es schafft, die Unterlassung als "unterlassene Hilfeleistung" hinzubiegen.

Also: Wer als Admin solche Hinweise kriegt und NICHT verantwortlich handelt, hat Strafe verdient. Allerdings müßte der Hinweis erstmal einen Admin erreichen. Andererseits: Wer als Chef Geld scheffelt und sich nicht um solche Sachen kümmert, hat Strafe noch viel mehr verdient.

01

Ich verstehe diese ganzen Exploit/VX/DDOS Geschäfte eh nicht, was ist da legal und was nicht?
Die ganzen Audit-Firmen oder Jäger veröffentlichen das doch so oder so laut der inoffiziellen Rule 30Tage für das Bugfixen zu warten?

Naja wenn würde ich das eh so machen:
Mail schicken mit genauer Schilderung. Hinweis auf Veröffentlichung nach 30Tagen. Bitte um Spende an FOSS Projekte/Wikipedia/o.ä. da ist man immer ausm Schneider, nicht unmoralisch.

Also Taschengeld würde ich so nicht verdienen wollen

mauralix

Ich weiß nicht was man mit der Lücke anstellen kann, aber ich denke die müssen sich brennen, damit sie merken, dass etwas heiß ist.
Vermutlich haben sie auch nicht reagiert, weil sie keine Ahnung von der Problematik hatten.

__________________

http://chm0815.blogspot.com